7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı kanunun şirketlere uyum çalışmaları için verdiği altı aylık süre 7 Ekim 2016 tarihinde sona erdi. Artık kişisel veriler konusunda bizi yepyeni bir dönem bekliyor.
Peki bu 6698 sayılı kanun ne? 7 Ekim 2016’dan sonra bizi neler bekliyor?
Bu kanun kişisel verilerin korunmasında kişilere düşen yükümlülükleri düzenlemekte. Avrupa Birliği’nin verdiği yönergelere uygun olarak kişisel verilere dair düzenleme getirmeyi amaçlıyor.Şirketlerin uyum yükümlülüklerini yerine getirmesi için öncelikle mevcut durumlarını analiz etmesi, işledikleri kişisel verileri bir envanter olarak ortaya koyması, kanuna uygun olacak şekilde kişisel veri işleme prosedürlerini oluşturması ve mevcut sözleşmelerini güncellemesi için 6 aylık bir süre vermişti. Bu süre 7 Ekim 2016 tarihinde sona erdi. Kanuna göre yükümlülükleri yerine getirmeyen şirketleri ise idari ve cezai yaptırımlar bekliyor. Yasa 7 Ekim 2016’ya kadar 6 aylık cezasız bir dönem öngörüldüğünden, veri sorumlusu şirketlerin 7 Ekim 2016’ya kadar yasada öngörülen şartlara ve veri işlemeye dair kurallara uyum çalışmalarını tamamlamış olmaları durumunda kanundaki cezai yaptırımlara tabi tutulamayacağını belirtiyor. İhlal durumunda, ihlalin tipine göre ihlal başına 5 bin liradan 1 milyon liraya kadar idari para cezası verilebileceğini, yine ihlalin niteliğine göre 1 yıldan 4.5 yıla kadar hapis cezası verilebileceğini öngörmekte.
Yasa der ki; çalışanlarınıza, müşterilerinize veya iş ortaklarınıza dair tüm bilgiler kişisel veri kapsamındadır. Yasa sadece gerçek kişilere ait kişisel verileri koruma altına aldığından, tüzel kişilere ait veriler yasa kapsamında değil. Kişisel verilerin ve özel nitelikli kişisel verilerin, ilgilinin ‘açık rızası’ olmaksızın işlenmesi yasak olup, üçüncü kişilere veya yurtdışına aktarılması ve kullanım amaçları bittiğinde silinmemesi veya anonimleştirilmemesi suçtur. Ancak Kanun’da sayılan sınırlı haller ile ve yeterli önlemlerin alınması şartıyla açık rıza kuralına bazı istisnalar getirilmiştir. “Veri işleme” ise yasada açıkça tanımlanmış teknik bir terim.Verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ediyor.
Kanun hem özel sektör, hem de belirli sınırlamalara tabi olarak kamu sektörü için kişisel verilerin korunması ve işlenmesine dair süreçler ile yükümlülükleri düzenliyor.
Bu yükümlülükler ise şu şekilde;
Bilgilendirme: Veri sorumlusu veya buna dair yetkilendirdiği kişinin, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile yasanın 11’inci maddesinde ilgili kişiye sağlanan haklara dair, kişileri bilgilendirmesi gereklidir.
Veri güvenliğini sağlanma: Veri sorumlusu olan şirketler; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerin muhafaza edilmesini sağlamak amacıyla uygun güvenlik önlemlerini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi: Veriler kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olsa bile, verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gereklidir.
Yurtdışına veri aktarımı: Yasa uyarınca kişinin açık rızası olmaksızın yurt dışına veriler aktarılamaz. Kişisel veriler, ancak yasada sayılan sınırlı hallerde ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması durumunda mümkün kılınacaktır.
CEZAİ YAPTIRIM:
Yasa uyum açısından 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel veriler için bir istisna getirmiş olduğundan bu verilerin işlenme süreçlerinin de 7 Nisan 2018’e kadar sürecek bir uyum dönemi içinde Kanun hükümlerine uygun hâle getirilmesinin beklendiği söyleniyor.
Yasaya göre yükümlülüklerini yerine getirmeyen, bu yükümlülükleri ihlal eden şirketleri ihlalin tipine göre 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen idari yaptırımlar ile ihlalin niteliğine göre 1 yıldan 4.5 yıla kadar çıkabilen cezai yaptırımlar bekliyor.